Size: a a a

Работа для ИТ-архитекторов

2021 November 14

ГШ

Григорий Шатров... in Работа для ИТ-архитекторов
Там давно уже бардак. Особенно где необходимость+хотелки+требования гос регуляторов переплетаются. А усугубляется всё это ещё необходимостью работы с ребятами из силовых структур, которые капец какие "деревянные" и тупор... упёртые.
источник

MS

Mikhail Sergeev in Работа для ИТ-архитекторов
Директор ИБ - это всё же CISO. Но с учётом написанного мной выше и, в следствие, непонимания бизнесом роли ИБ, эту структуру куда только не засовывают. Хорошо, если в ИТ (под CIO), а не в физическую безопасность (охрану) или экономическую. Но даже внутри IT, она погибает, для CIO, ИБ - это тормоз, ухудшающий его KPI
источник

A

Aroh in Работа для ИТ-архитекторов
Плохо даже не то, что это тормоз. А то, что это часто просто запреты без решений

А хочется от экспертов ИБ получать решения, а не просто набор требований. Но если там будут платить меньше, чем в разработке, то и решений от них не будет.
источник

RZ

Roman Zikiy in Работа для ИТ-архитекторов
У нас недавно родился Архитектор по ИБ в Корп. архитектуре, потому что на ИБ навешивают и функции СБ, ЭБ и физической безопасности
источник

MI

Mike Ishenin in Работа для ИТ-архитекторов
У них задача — «не выпустить небезопасное решение», и она отлично решается как раз палками в колёса.

Когда будет задача «выпустить безопасное решение в нужные бизнесу сроки», тогда и увидим активную жизненную позицию у них.
источник

RZ

Roman Zikiy in Работа для ИТ-архитекторов
Для этого нужно переподчинение ИБ под ИТ, чего я нигде не видел. Обычно "погоны" равные, а за ИБ ещё и риск менеджмент всегда. И наличие CDTO на том же уровне только позволит уравнять голоса
источник

A

Aroh in Работа для ИТ-архитекторов
Плохо то, что в обычное ИТ приходится затаскивать из-за этого полную компетенцию по ИБ. Вместо нормального разделения обязанностей.
источник

MI

Mike Ishenin in Работа для ИТ-архитекторов
Справедливости ради, это тоже известный подход.

В Амазоне, рассказывали, в каждой продуктовой команде должны быть все компетенции, включая хардкорное сисадминство, сети, корп.арх, и безопасность, то есть команды являются по-настоящему полноценными боевыми единицами.

Подразумевается, что команда способна самостоятельно сделать качественный во всех смыслах продукт, и роль «корпоративного» эксперта ИБ заключается только в аудите, в самом строгом смысле этого слова.

Но у них созданы условия для этого, вот в чём разница с нами.
источник

A

Alex in Работа для ИТ-архитекторов
Ага, в сбере, втб, гпб самостоятельной считается (на бумаге конечно) команда из аналитика, фронтэнд разработчика, бэкэнд разработчика и тестировщика
источник

ST

Sergey Tsuprikov in Работа для ИТ-архитекторов
Они и в реальным бывают. Мой знакомый стал CSO крупнейшего банка Казахстана.
источник

IB

Ivan Budylin in Работа для ИТ-архитекторов
Как человек, работающий с ИТ и ИБ крупных компаний, свидетельствую: на самом деле это весьма частая история. И это плохо, и вот почему: задачи ИБ находятся практически в прямом противоречии с желаниями ИТ. ИТ хотят сделать так, чтобы пользователям было максимально удобно работать, а ИТ - максимально удобно предоставлять необходимые для работы сервисы, а ИБ непременно это удобство и скорость понизит, поэтому у CISO в подчинении CIO постоянный конфликт интересов - он вынужден делать то, что не понравится его боссу. Лучше, когда CISO подчиняется CSO, в задачи которого входит ещё и безопасность физическая, но только при том условии, что он обладает автономностью в принятии решений, иначе это превратится в "нужно больше вахтёров и камер наблюдения, в том числе и внутри этих ваших компьютеров". Идеально, когда CISO подчиняется Chief Risk Officer, потому что ИБ, в конечном итоге, именно про риски - но такого я пока в российских компаниях не встречал.
источник

VO

V OC in Работа для ИТ-архитекторов
Мне казалось, изначально смысл создания новых ролей типа СхО, и особенно CDTO и CISO, был в том, чтобы никому кроме СЕО не подчиняться, и быть на равных с другими участниками "круглого стола".

Иначе... просто модный тренд на С начинаться. И такой CISO - это начальник службы ИБ.

P.S. CISO как именно CxO, замГД, равный уровень с Аналитикой, Разработкой, Эксплуатацией и Финансами, я встречал.
источник

A

Aroh in Работа для ИТ-архитекторов
Ну, это все красиво. Но мы то видим, что таких человеков только на мангу хватит ) остальным придется жить в мире где ни архитекторов, ни ИБ не хватает )
источник

IB

Ivan Budylin in Работа для ИТ-архитекторов
Когда-нибудь непременно так и будет, потому что кибербезопасность должна быть вопросом уровня совета директоров (хотя бы потому что ущерб от инцидента может быть катастрофическим, вплоть до полной потери бизнеса), а значит CISO должен за этим столом сидеть и иметь равное право голоса. Но сейчас, увы, так далеко не везде.
источник

VO

V OC in Работа для ИТ-архитекторов
Не обязательно....
Решение, какие роли выносить на C-уровень - это стратегическое, но, если говорить о группе компаний, достаточно рутинное для стратегов решение.

Если ИБ - важная функция с самостоятельной ценностью, то да. Например, в компании, чей бизнес основан на безопасности клиентов, информации, и так далее.

Если ИБ является функцией защиты от взлома с ущербом - то это часть функции безопасности. И замГД по безопасности должен решать, сколько тратить на какую форму безопасности.

Там, где взлом приведет к полной потере бизнеса, может быть разумно оставить только CISO, и аутсорснуть физическую безопасность на охранное предприятие, защищающее арендуемый офис.

Подчинение ИБ блоку Риски подходит для традиционных универсальных банков, где риск "супервзлома" ограничен (тем, что вся система и продукты содержат много защит, в т.ч. через ручные процессы), и может рассматриваться среди других высоких рисков. Хотя полностью цифровые банки уже относятся к варианту выше.
источник

ST

Sergey Tsuprikov in Работа для ИТ-архитекторов
Такой расклад во всех крупных банках. ИБ - всегда отдельно.
источник

MS

Mikhail Sergeev in Работа для ИТ-архитекторов
В современном мире ИБ влияет на компании, чей бизнес далек от информации. Компания Сен-Гобен  - международная производственная компания, делает различные материалы (строительство, автопромышленность и пр). Вот только после того, как у них случился не-петя, их заводы по всему миру вот так тупо встали на пару неделек, а всего компания потеряла 300 млн $, согласно отчёту для акционеров.
источник

VO

V OC in Работа для ИТ-архитекторов
То, что кибератаки могут нанести существенный ущерб (кстати, в случае SG, <1% выручки) - не делает их ключевой функцией компании.

Я передерну для наглядности:

"В современном мире терроризм влияет на компании, чей бизнес далек от политики. Разрушение башен Всемирного Торгового Центра не только стерло с лица земли сотни компаний, размещавшихся в нем. Пострадали даже владельцы недвижимости: обе башни были застрахованы на стоимость только одной..."

Значит ли это, что в правление Ashbar Punjabi Textiles From Alibaba Marked Up Reseller будет эффективным включить Chief Counter-Terrorism Officer?

Нет. Ашбар может решить проблему кибератак размещением 100% своего бизнеса на готовом маркетплейсе, где о безопасности позаботится их CISO (и да, вот им - нужен), а проблему физического терроризма - ежерассветной медитацией о всевышнем.
источник

Ⓢ-

ⓈⒺⓇⒼⒺⓎ_㋡ -𝕊.𝕊.𝕊-... in Работа для ИТ-архитекторов
Интересная статья о рынке труда, нехватке специалистов и не только (вчера вышла), там есть ссылки на две чисто IT статьи.
.
https://habr.com/ru/company/headzio/blog/588961/
.
Вероятно, зарплаты не просто так растут и не просто "IT-шники зажрались"... А просто выравнивание начинается к тому что должно быть.
❗️❗️❗️
П.с. тема холиварная, рекомендую просто почитать, тут обсуждать не стоит, думаю...
❌❌❌
Но в статье не только про ITшников, там про всех и рынок в общем...
Многим, думаю, интересно будет...
.
источник

A

Alexander in Работа для ИТ-архитекторов
источник